Les attaques informatiques, nouveau sujet phare des médias

Les menaces informatiques sont l’objet d’un traitement médiatique intense ces dernières années et cette donnée est bénéfique aux entreprises. Lors des récents piratages massifs (Saint-Gobain, SNCF, Time Warner, Yahoo !, Google Data Breach, MIT…), largement relayés dans les médias, il n’est plus rare de voir des conseils adressés aux entreprises pour se prémunir de telles attaques. Il n’est plus question, pour les professionnels, de se contenter d’un simple antivirus pour protéger l’ensemble des terminaux - et les données - de l’organisation.

Celles-ci se montrent plus méfiantes et sont désormais plus enclines à se protéger, envisageant désormais la sécurité comme une donnée indissociable de toute nouvelle approche technologique. Alors qu’il y a quelques années encore les PME ne craignaient pas ces attaques - imaginant qu’elles concernaient uniquement les grands groupes - une prise de conscience a eu lieu. La sécurité informatique est aujourd’hui un axe majeur de stratégie pour toutes les entreprises, quelle que soit leur taille. Dernier élément qui atteste de l’importance accordée à la cybersécurité : l’augmentation exponentielle du nombre d’écoles dédiées à ce secteur. La France n’en possédait aucune il y a encore peu, elles se multiplient désormais dans l’Hexagone et les cursus spécialisés dans la sécurité informatique sont également légion.

Dans ce contexte, l’arrivée de nouvelles technologies - objets connectés, intelligence artificielle, chatbots, etc. - est abordée de façon plus sécurisée. Et l’Internet of Things (IoT ou Internet des objets) n’est pas une tendance mais bel et bien une réelle vague de fond qui va concerner une grande majorité d’entreprises. L’institut Gartner a revu à la hausse ses prévisions, avec 8 milliards d’objets connectés en circulation en 2017, dont 3 milliards pour les entreprises (2). Les entreprises françaises, désormais conscientes des risques liés à la sécurité de leurs données, se préparent dès à présent à se protéger de ces nouvelles menaces potentielles.

Un besoin de sensibilisation constant

Cependant, le risque d’attaques informatiques ne vient pas que des données ou des objets connectés : 35% des incidents de sécurité sont causés par des collaborateurs internes (3). Un travail de sensibilisation auprès des employés français doit être impérativement mis en place, et ce sur le long terme. Il y a 4 aspects indispensables à prendre en compte pour la sensibilisation :

• L’implication
La sensibilisation à la cybersécurité en entreprise commence par une conduite du changement. Il s’agit dans un premier temps de s’appuyer sur la participation des principaux acteurs de l’entreprise, en créant des groupes de référents et en travaillant avec eux. C’est la technique dite du "nénuphar" : en "évangélisant" certains éléments réceptifs à la cybersécurité et à sa sensibilisation, cela leur permettra ensuite de former eux-mêmes les autres collaborateurs. Un gain de temps - et d’investissements financiers - non négligeable.

• La communication
La communication est un pilier de la sensibilisation : il est absolument nécessaire de mettre en place, au sein de l’entreprise, un plan de communication complet intégrant médias et blogs internes, outils traditionnels et digitaux, etc. Mais cette communication ne peut être ponctuelle : ce n’est pas en plaçant une affiche de prévention, une fois tous les six mois dans la salle de repos que les collaborateurs vont être sensibilisés à la sécurité. Il y a quelques années, la culture de la sécurité avait été déployée au niveau humain : casque sur les chantiers, formations incendies, premiers secours, etc. Maintenant que cette culture est entrée dans les habitudes des employés, il faut enseigner la culture du risque informatique.

• Un plan de formation
Si l’information est un pilier de la sensibilisation, il est indispensable d’établir un plan de formation adapté. Pour cela, il faut récolter en amont les aspects sur lesquels les employés sont négligents d’un point de vue sécurité et mettre en place une campagne de phishing ciblant les éléments qui peuvent être sensibles à l’hameçonnage : stagiaires, prestataires, responsables en vacances, etc. En envoyant des messages ciblés, cela permet de savoir qui est tombé dans le piège et d’établir, ensuite, des formations adaptées pour éviter que le phénomène ne se reproduise à l’avenir.

• La métrologie
La métrologie est l’ensemble des techniques permettant d’effectuer des mesures, de les interpréter et de garantir leur exactitude. La cybersécurité - à l’image des autres aspects stratégiques de l’entreprise - doit être mesurée et monitorée en permanence. Pour cela, il faut mettre en place un certain nombre de règles de sécurité au sein de l’entreprise. Cela permettra, de plus, d’améliorer de façon continue la protection des données de l’entreprise. Pour cela, on peut imaginer différents types d’exercices concrets, comme des serious games basés sur la sécurité de données, des webinaires ou encore des questionnaires, qu’il faudra renouveler régulièrement afin de mesurer les effets et la pertinence de la sensibilisation mise en œuvre.

Allier sécurité organisationnelle et sécurité opérationnelle

Deux aspects de la sécurité doivent être distingués au sein de l’entreprise : l’organisationnel, qui consiste en sa gouvernance et en sa conformité d’une part, l’opérationnel (quels outils pour remonter les menaces, la sensibilisation, la culture du risque, la veille technologique mise en place, etc.) d’autre part.

De l’aspect organisationnel, il faut souligner la volonté des institutions européennes et le déploiement du Règlement général sur la protection des données (en anglais : General Data Protection Regulation, GDPR), qui va permettre d’encadrer la cybersécurité au niveau européen dès 2018. L’obligation de créer un poste de responsable de la protection des données au sein de certaines entreprises (Data Protection Officer, DPO en anglais), qui figure également dans ce règlement, est également une initiative positive. Aux entreprises de se mettre désormais en conformité avec ces nouvelles règles de sécurité qui arrivent à point nommé.

Pour la partie opérationnelle, les outils de mesure et de protection sont nombreux mais les menaces toujours plus importantes. La sensibilisation et la culture du risque doivent ainsi être accompagnées d’une veille technologique indispensable pour assurer la protection de l’entreprise sur la durée. La cybersécurité est un domaine qui évolue en permanence et à une vitesse considérable : sans veille, sensibilisation et culture du risque ne servent plus à rien. En parallèle, chaque entreprise devrait également réaliser des audits et de l’analyse des risques pour adapter sa stratégie de sécurité à son propre secteur et à ses problématiques.

Grâce à une prise de conscience généralisée, la sensibilisation, la culture du risque et la veille technologique font désormais partie du quotidien des entreprises françaises. Celles-ci rattrapent progressivement leur retard en matière de cybersécurité, qui devient désormais un axe de développement stratégique à part entière.

(1)http://www.pwc.fr/fr/espace-presse/communiques-de-presse/2016/octobre/cybersecurite-france-gsiss.html
(2)http://www.gartner.com/newsroom/id/3598917
(3)http://www.atelier.net/trends/articles/cybersecurite-entreprise-abord-comprendre-qu-proteger_442198